路透旧金山 8 月 26 日 - 微软(MSFT.O)周四警告其数以千计的云计算客户,包括一些全球最大的公司,入侵者可能有能力读取、更改甚至删除他们的主要数据库,根据电子邮件副本和网络安全研究人员的说法。
该漏洞存在于 Microsoft Azure 的旗舰 Cosmos DB 数据库中。安全公司 Wiz 的一个研究团队发现,它能够访问控制对数千家公司持有的数据库的访问的密钥。Wiz 首席技术官 Ami Luttwak 是微软云安全集团的前首席技术官。
由于微软无法自行更改这些密钥,因此它于周四向客户发送电子邮件,告诉他们创建新密钥。根据微软发送给 Wiz 的一封电子邮件,微软同意向 Wiz 支付 40,000 美元用于发现漏洞并报告它。
“我们立即修复了这个问题,以确保我们的客户安全和受到保护。我们感谢安全研究人员在协调漏洞披露下工作,”微软告诉路透社。
微软给客户的电子邮件称,没有证据表明该漏洞已被利用。“我们没有迹象表明研究人员 (Wiz) 之外的外部实体可以访问主读写密钥,”电子邮件说。
“这是你能想象到的最严重的云漏洞。这是一个长久的秘密,”卢特瓦克告诉路透社。“这是 Azure 的中央数据库,我们能够访问我们想要的任何客户数据库。”
Luttwak 的团队在 8 月 9 日发现了这个被称为 ChaosDB 的问题,并于 8 月 12 日通知了微软,Luttwak 说。
该缺陷存在于一个名为 Jupyter Notebook 的可视化工具中,该工具已经可用多年,但从 2 月份开始在 Cosmos 中默认启用。路透社报道了该漏洞后,Wiz在博客文章中详细介绍了该问题。
Luttwak 表示,即使是没有收到微软通知的客户,他们的密钥也可能被攻击者盗取,在这些密钥被更改之前让他们可以访问。当 Wiz 正在处理这个问题时,微软本月只告诉客户他们的密钥是可见的。
微软告诉路透社,“可能受到影响的客户收到了我们的通知”,但没有详细说明。
这一披露是在微软几个月的坏安全消息之后发布的。该公司遭到入侵 SolarWinds并窃取 Microsoft 源代码的俄罗斯政府黑客的攻击。然后,在开发补丁时,大量黑客闯入了 Exchange 电子邮件服务器。
最近修复了允许计算机接管的打印机缺陷,必须反复重做。上周另一个 Exchange 漏洞促使美国政府紧急警告客户需要安装几个月前发布的补丁,因为勒索软件团伙现在正在利用它。
Azure 的问题尤其令人不安,因为微软和外部安全专家一直在推动公司放弃大部分自己的基础设施,并依靠云来提高安全性。
但是,尽管云攻击更为罕见,但一旦发生,其破坏性可能会更大。更重要的是,有些从未公开。
一个与联邦政府签约的研究实验室跟踪软件中所有已知的安全漏洞,并按严重程度对其进行评级。Luttwak 说,但是没有针对云架构中的漏洞的等效系统,因此许多关键漏洞仍未向用户披露。
发表评论 取消回复